Le 18 février 2014

Parmi les Trojans que les spécialistes de Doctor Web reçoivent, la plupart sont des logiciels relativement simples. Les menaces à plusieurs composantes sont plus rares. C'est le cas du Trojan.PWS.Papras.4, qui comporte beaucoup de fonctionnalités malveillantes. Par exemple, il est capable de voler des mots de passe, transmettre des formulaires remplis par les victimes aux malfaiteurs, ainsi que rendre possible l'administration distante de l'ordinateur infecté.

Trojan.PWS.Papras.4 est une application qui peut être classifiée comme un RAT (Remote Administration Tool, un outil d'administration distante). Le Trojan inclut plusieurs composants dont un dropper, qui, une fois lancé, extrait un autre composant et, si le compte utilisateur fournit les privilèges suffisants, modifie le registre Windows, afin que le module d’injection extrait se lance automatiquement.

Après son lancement, le module d’injection décompresse les modules de base du Trojan et injecte leur code à tous les processus actifs, sauf quelques-uns relatifs au fonctionnement de Windows. Le Trojan.PWS.Papras.4 est compatible avec les systèmes 32 et 64-bits.

Le Trojan assure le fonctionnement de plusieurs modules sur l'ordinateur infecté : l'un d'eux met en œuvre les fonctions du serveur VNC, l'autre celles du serveur Socks Proxy. Un autre module peut injecter un code parasite dans les pages web (injections web). Le Grabber (un autre module) est conçu pour envoyer des données entrées par l'utilisateur dans les navigateurs Microsoft Internet Explorer, Mozilla Firefox et Google Chrome aux malfaiteurs. Le module Stealer peut voler les mots de passe des clients de messagerie, clients FTP et autres. Le module backconnect permet aux attaquants d'administrer l'ordinateur infecté, même s'il est protégé par une passerelle ou un pare-feu. Trojan.PWS.Papras.4 peut exécuter les commandes suivantes :

• télécharger, enregistrer, lancer une application spécifiée ;
• actualiser le logiciel malveillant ;
• transmettre au serveur distant les cookies des navigateurs Microsoft Internet Explorer, Mozilla Firefox et Google Chrome ;
• exporter les certificats numériques du PC infecté et les envoyer à un serveur distant ;
• transmettre la liste des processus actifs ;
• supprimer les cookies sur l'ordinateur infecté ;
• ajouter une entrée dans le log ;
• lancer le serveur proxy ;
• lancer le serveur VNC ;
• installer la mise à jour du logiciel malveillant avec une signature numérique ;
• lancer des programmes ;
• Enregistrer une entrée dans le registre ou l'obtenir du registre ;
• rechercher des fichiers sur l'ordinateur infecté.

Ce malware représente un grand danger, car ses modules peuvent voler les données confidentielles que les malfaiteurs peuvent ensuite utiliser pour l'accès non autorisé à l'ordinateur, pour le piratage de sites et de comptes. Les produits Dr.Web sont capables de détecter et d'éradiquer le Trojan.PWS.Papras.4, par conséquent, les utilisateurs de Dr.Web sont entièrement protégés contre cette menace.